As respostas SAML de IDP para SP (no caso de ponte de identidade, Unified Access Gateway) contêm asserções SAML, que têm os atributos SAML. Os atributos SAML podem ser configurados no IDP para apontar para vários parâmetros, como nome de usuário, e-mail e assim por diante.
Na autenticação baseada em cabeçalho usando-se SAML, o valor do atributo SAML pode ser enviado como um cabeçalho HTTP ao destino do proxy de back-end. O nome de atributo SAML definido no Unified Access Gateway é o mesmo que aquele no IDP. Por exemplo, se um provedor de identidade tiver o atributo definido como Name: userName
Value: idmadmin
, o nome do atributo SAML no Unified Access Gateway deverá ser definido como "userName"
.
Atributo SAML que não coincidir com o atributo definido no IDP será ignorado. O Unified Access Gateway é compatível tanto com vários atributos SAML quanto com atributos SAML de vários valores. Os exemplos de trechos da asserção SAML esperados de um provedor de identidade são mencionados nos itens a seguir para cada caso. Por exemplo,
1. Resposta SAML esperada do IDP para vários atributos SAML
<saml:AttributeStatement> <saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
No exemplo anterior, uma asserção contém dois atributos, "userName"
e "userEmail"
. Se a autenticação baseada em cabeçalho for configurada apenas para "userName"
, com o nome do cabeçalho sendo "HTTP_USER_NAME"
, o cabeçalho será enviado como: "HTTP_USER_NAME: idmadmin"
Desde que "userEmail"
não esteja configurado no Unified Access Gateway para a autenticação baseada em cabeçalho, ele não será enviado como um cabeçalho.
2. Resposta SAML esperada do IDP para o atributo SAML de vários valores
<saml:AttributeStatement> <saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
No exemplo anterior, um atributo "group"
contém quatro valores, nomeadamente "All Employees"
, "All Contractors"
, "All Executives"
e "All"
. Se a autenticação baseada em cabeçalho, for configurada apenas para "group"
, com o nome do cabeçalho sendo "HTTP_GROUP"
, o cabeçalho será enviado como "HTTP_GROUP: All Employees, All Contractors, All Executives, All"
com uma lista separada por vírgula de todos os valores do atributo como o valor do cabeçalho.